管理 Azure Stack HCI 版本 23H2 的安全默认值
适用于:Azure Stack HCI 版本 23H2
本文介绍如何管理 Azure Stack HCI 群集的默认安全设置。 还可以修改部署期间定义的偏移控制和受保护的安全设置,使设备处于已知良好状态。
先决条件
在开始之前,请确保有权访问部署、注册并连接到 Azure 的 Azure Stack HCI 版本 23H2 系统。
在Azure 门户中查看安全默认设置
若要查看Azure 门户中的安全默认设置,请确保已应用 MCSB 计划。 有关详细信息,请参阅 应用Microsoft云安全基准计划。
可以使用安全默认设置来管理群集上的群集安全性、偏移控制和安全核心服务器设置。
在“数据保护>网络保护”选项卡下查看 SMB 签名状态。SMB 签名允许在 Azure Stack HCI 系统和其他系统之间对 SMB 流量进行数字签名。
在Azure 门户中查看安全基线符合性
使用 Microsoft Defender for Cloud 注册 Azure Stack HCI 系统或分配内置策略 Windows 计算机应满足 Azure 计算安全基线的要求后,将生成符合性报告。 有关 Azure Stack HCI 服务器所比较的规则的完整列表,请参阅 Windows 安全基线。
对于 Azure Stack HCI 服务器,如果满足安全核心的所有硬件要求,则符合性分数为 288 条规则中的 281 个,即 288 条规则中的 281 个符合性分数。
下表说明了不符合的规则以及当前差距的理由:
| 规则名称 | 预期... | 实际值 | 逻辑 | 注释 |
|---|---|---|---|---|
| 交互式登录: 试图登录的用户的消息文本 | 预期: | 实际: | 运算符: NOTEQUALS |
我们希望你定义此值,且没有偏移控制。 |
| 交互式登录: 试图登录的用户的消息标题 | 预期: | 实际: | 运算符: NOTEQUALS |
我们希望你定义此值,且没有偏移控制。 |
| 最短密码长度 | 预期:14 | 实际:0 | 运算符: GREATEROREQUAL |
我们希望你定义此值,且没有偏移控制,与组织的策略保持一致。 |
| 禁止从 Internet 进行设备元数据检索 | 预期:1 | 实际:(null) | 运算符: EQUALS |
此控件不适用于 Azure Stack HCI。 |
| 阻止用户和应用访问危险网站 | 预期:1 | 实际:(null) | 运算符: EQUALS |
此控件是 Windows Defender 保护的一部分,默认情况下未启用。 可以评估是否要启用。 |
| 强化的 UNC 路径 - NETLOGON | 预期: RequireMutualAuthentication=1 RequireIntegrity=1 |
实际:RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
运算符: EQUALS |
Azure Stack HCI 更严格。 可以安全地忽略此规则。 |
| 强化的 UNC 路径 - SYSVOL | 预期: RequireMutualAuthentication=1 RequireIntegrity=1 |
实际: RequireMutualAuthentication=1 RequireIntegrity=1 RequirePrivacy=1 |
运算符: EQUALS |
Azure Stack HCI 更严格。 可以安全地忽略此规则。 |
使用 PowerShell 管理安全默认值
启用偏移保护后,只能修改非受保护的安全设置。 若要修改构成基线的受保护安全设置,必须先禁用偏移保护。 若要查看和下载安全设置的完整列表,请参阅 安全基线。
修改安全默认值
从初始安全基线开始,然后修改部署期间定义的偏移控制和受保护的安全设置。
启用偏移控制
使用以下步骤启用偏移控制:
连接到 Azure Stack HCI 节点。
运行以下 cmdlet:
Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本地 - 仅影响本地节点。
- 群集 - 使用业务流程协调程序影响群集中的所有节点。
禁用偏移控制
使用以下步骤禁用偏移控制:
连接到 Azure Stack HCI 节点。
运行以下 cmdlet:
Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>- 本地 - 仅影响本地节点。
- 群集 - 使用业务流程协调程序影响群集中的所有节点。
重要
如果禁用偏移控制,则可以修改受保护的设置。 如果再次启用偏移控制,则覆盖对受保护设置所做的任何更改。
在部署期间配置安全设置
在部署过程中,可以修改偏移控制和其他构成群集安全基线的安全设置。
下表介绍了可在部署期间在 Azure Stack HCI 群集上配置的安全设置。
| 功能区域 | 特性 | 说明 | 支持偏移控制? |
|---|---|---|---|
| 治理 | 安全基线 | 在每个服务器上维护安全默认值。 帮助防止更改。 | 是 |
| 凭据保护 | Windows Defender Credential Guard | 使用基于虚拟化的安全性将机密与凭据盗窃攻击隔离开来。 | 是 |
| 应用程序控制 | Windows Defender 应用程序控制 | 控制允许哪些驱动程序和应用直接在每个服务器上运行。 | 否 |
| 静态数据加密 | 适用于 OS 启动卷的 BitLocker | 加密每台服务器上的 OS 启动卷。 | 否 |
| 静态数据加密 | 数据卷的 BitLocker | 加密此群集上的群集共享卷(CSV) | 否 |
| 传输中的数据保护 | 为外部 SMB 流量签名 | 对此系统和其他系统之间的 SMB 流量进行签名,以帮助防止中继攻击。 | 是 |
| 传输中的数据保护 | 群集内流量的 SMB 加密 | 加密群集中的服务器(在存储网络上)之间的流量。 | 否 |
在部署后修改安全设置
部署完成后,可以使用 PowerShell 修改安全设置,同时保持偏移控制。 某些功能需要重新启动才能生效。
PowerShell cmdlet 属性
以下 cmdlet 属性适用于 AzureStackOSConfigAgent 模块。 模块在部署期间安装。
Get-AzsSecurity-Scope: <Local |PerNode |AllNodes |簇>- Local - 在本地节点上提供布尔值(true/False)。 可以从常规远程 PowerShell 会话运行。
- PerNode - 为每个节点提供布尔值(true/False)。
- 报告 - 需要使用远程桌面协议(RDP)连接来使用 CredSSP 或 Azure Stack HCI 服务器。
- AllNodes – 提供跨节点计算的布尔值(true/False)。
- 群集 – 提供 ECE 存储中的布尔值。 与业务流程协调程序交互,并作用于群集中的所有节点。
Enable-AzsSecurity-Scope <Local |簇>Disable-AzsSecurity-Scope <Local |簇>- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
- 偏移控制
- Credential Guard
- VBS (基于虚拟化的安全性)- 我们仅支持启用命令。
- DRTM (用于度量的动态信任根)
- HVCI (如果代码完整性时强制实施虚拟机监控程序)
- 侧通道缓解
- SMB 签名
- SMB 群集加密
- FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>
下表记录了支持的安全功能、它们是否支持偏移控制以及是否需要重新启动来实现该功能。
| 名称 | 功能 | 支持偏移控制 | 需要重新启动 |
|---|---|---|---|
| 启用 |
基于虚拟化的安全性 (VBS) | 是 | 是 |
| 启用 |
Credential Guard | 是 | 是 |
| 启用 禁用 |
用于测量的动态信任根 (DRTM) | 是 | 是 |
| 启用 禁用 |
虚拟机监控程序保护的代码完整性(HVCI) | 是 | 是 |
| 启用 禁用 |
侧通道缓解 | 是 | 是 |
| 启用 禁用 |
SMB 签名 | 是 | 是 |
| 启用 禁用 |
SMB 群集加密 | 否,群集设置 | 否 |